گوگل و سایر تولیدکنندگان دستگاه‌های اندرویدی، برخی نقص‌های امنیتی را اصلاح نکرده‌اند

گوگل قبلاً چندین نقص امنیتی را در گوشی‌های هوشمندی که از پردازنده‌های گرافیکی Mali استفاده می‌کنند مثل محصولات مجهز به تراشه‌های اگزینوس، فاش کرده است. تیم پروژه‌ی صفر (Project Zero) می‌گوید مشکلات مذکور در تابستان سال جاری به ARM اطلاع‌رسانی شد. آرم نیز موارد امنیتی مطرح‌شده ازطرف غول جستجوی اینترنت را در ماه جولای و اگوست برطرف کرد. به‌گفته‌ی تیم پروژه‌ی صفر، با گذشت چندماه از رفع این آسیب‌پذیری‌ها، تولیدکنندگان گوشی‌های هوشمند اندرویدی ازجمله سامسونگ، شیائومی، اوپو و خود گوگل تا اوایل هفته‌ی جاری وصله‌های رفع این مشکلات را منتشر نکرده بودند.

به گزارش انگجت، محققان Project Zero گوگل در بازه‌ی زمانی ژوئن تا جولای پنج مشکل جدید را شناسایی و آن‌ها سریعاً به ARM اعلام کردند. ایان بیر یکی از اعضای پروژه‌ی صفر با انتشار پست وبلاگی گفت:

یکی از مشکلات پردازنده‌های گرافیکی Mali باعث آسیب‌رساندن به هسته‌ی حافظه و یکی دیگر از آن‌ها باعث افشای آدرس‌های حافظه‌ی فیزیکی در فضای کاربری می‌شود. سه‌مورد دیگر از این مشکلات نیز به شرایط استفاده از حافظه‌ی فیزیکی پس‌از آزاد شدن آن‌ ارتباط دارند. مهاجمان می‌توانند با سوءاستفاده از این باگ‌ها، اطلاعات موردنظر خود را روی حافظه‌های فیزیکی بنویسند و بخوانند.

بیر اشاره کرد این امکان وجود دارد که هکرها ازطریق آسیب‌پذیری‌های پردازنده‌های گرافیکی Mali به‌طور کامل به یک سیستم هدف دسترسی پیدا کنند زیرا آن‌ها قادر خواهند بود مدل مجوزهای اندروید را دور زده و به داده‌های کاربران به‌طور گسترده دسترسی یابند. مهاجمان می‌توانند این کار را با اجبار هسته‌ها به استفاده‌ی مجدد از حافظه‌های فیزیکی انجام دهند.

اعضای پروژه‌ی صفر گوگل دریافتند که سه‌ماه پس‌از این‌که ARM آسیب‌پذیری‌‌های پردازنده‌های گرافیکی Mali را برطرف کرده است، همه‌ی دستگاه‌های مورد آزمایش این تیم همچنان دربرابر آن نقص‌ها، آسیب‌پذیر بودند. شایان‌ذکر است این مورد تاکنون در انجمن‌های اطلاع‌رسانی تولیدکنندگان محصولات اندرویدی اعلام نشده بود.

البته باید اشاره کنیم دستگاه‌های سری گلکسی S22 سامسونگ و گوشی‌های اندرویدی دیگری از که تراشه‌های اسنپدراگون استفاده می‌کنند، تحت‌تأثیر آسیب‌پذیری‌های مطرح‌شده از طرف تیم پروژه‌ی صفر گوگل قرار نگرفته‌اند.